守初心 创新质——网络安全2024

绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有50 余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 版权声明 为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经过匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息，均不会出现在本报告中。 卷首语 2023年是全面落实党的二十大精神开局之年，也是国家“十四五”规划实施承前启后的重要一年。一年中，国家持续深化网络安全能力和体系建设，制定发布了多项网络安全法规和政策，推动我国网络安全能力和体系的持续完善。 尤其重要的是，习近平总书记通过全国网络安全和信息化工作会议对网络安全工作作出了重要指示，进一步明确了国家网络安全行业发展的思路、模式和方向。在发展思路上，就是要“坚持统筹发展和安全”，确立以“总体国家安全观”为引领的网络安全企业发展思路；在发展模式上，就是要“构建大网络安全工作格局”，建设开放协同的网络安全企业发展模式；在发展方向上，就是要“坚持筑牢国家网络安全屏障”，以持续创新全面提升网络安全服务供给能力。 回顾过去的一年，“新质生产力”、“数据要素X”、“人工智能大模型”、“产业链供应链韧性”等，成为国内外网络安全领域的高频热词，也同样成为引领网络安全行业发展新的“风口”。探究其背后的产业发展规律，则是网络安全的转型升级、新技术要素赋能、业务驱动融合等趋势正在加速发展布局。 作为深耕网络安全产业前沿的一分子，我们密切关注国内外网络安全发展态势，并积极赋能网络安全供给侧创新研发。为此，我们依托自身研究队伍积淀，结合持续热点跟踪，将核心研究成果集结成册，形成本报告。 本报告包括三个篇章，即：法规政策篇、安全态势篇、新技术发展篇，筛选汇聚了我司本年度在网络安全跟踪研究中的核心研究成果。其中，法规政策篇重点梳理选编了本年度国内外网络安全相关重点法规政策并做分析；安全态势篇重点梳理分析了我国网络安全热点领域的态势和特点；新技术发展篇重点梳理分析了网络安全相关新兴技术及应用的现状、痛点和发展走势等。 辞旧迎新之际，寄望本报告能为支撑国家网络安全主管部门决策略尽绵薄。并期待依托我司技术产品和服务，秉承“专攻术业，成就所托”的宗旨，全力服务于国家“高质量发展和高水平安全良性互动”战略目标的实现，并为全面加强国家网络安全保障体系和能力持续贡献力量。 重要观点001 01 法规政策篇005 CONTENTS1.1习近平总书记对网络安全和信息化工作作出重要指示0061.2国家市场监管总局等四部门联合印发《关于开展网络安全服务认证工作的实施意见》0071.3关于做好《商用密码检测机构管理办法》和《商用密码应用安全性评估管理办法》实施工作的公告0071.4工信部、国家金融监管总局联合印发《关于促进网络安全保险规范健康发展的意见》0081.5工业和信息化部、国家互联网信息办公室等十六部门联合印发《关于促进数据安全产业发展的指导意见》0091.6国家数据局等部门发布《“数据要素 ×”三年行动计划（2024—2026 年）》0101.7国家互联网信息办公室发布《个人信息出境标准合同备案指南（第一版）》0111.8国家互联网信息办公室就《个人信息保护合规审计管理办法（征求意见稿）》公开征求意见0111.9国家互联网信息办公室等七部门联合印发《生成式人工智能服务管理暂行办法》0121.10美国白宫发布《国家网络安全战略》0131.11欧盟《网络安全条例》正式生效（CybersecurityRegulation）Regulation(EU)2023/28410141.12美国国会通过《2024 财年国防授权法案》（NationalDefenseAuthorizationActforFiscalYear2024）014 02 安全态势篇016 2.1网络资产暴露情况0172.2高风险主机0212.3恶意 IP 态势0242.4IPv6 安全态势0272.5暗网态势0302.6恶意软件威胁态势0362.7APT 攻击态势043 03 新技术发展篇050 3.1大模型安全0513.2攻击面管理0643.3内幕风险管理0673.4数据安全0743.5供应链安全0853.6工业互联网安全0913.7车联网安全098 04 总结108 重要观点 观点1：ﾠ法规政策 本年度政策法规主要涉及网络安全、数据安全、个人信息保护、技术发展与治理等四个大方向。网络安全方向的法规政策，主要涵盖战略规划、关键基础设施保护、供应链安全、密码应用、行业监管机制、重点领域应用、人才资金保障等。数据安全方向的法规政策，主要涵盖数据安全产业规划、战略衔接、数据跨境安全、行业数据安全监管、数据基础制度、数据安全共享机制等。个人信息保护方向的法规政策，主要涵盖个人信息出境管理、个人信息审计机制、特殊群体保护、区域性个人信息跨境共享机制等。技术发展与治理方向的法规政策，主要涵盖生成式人工智能、人脸识别技术、5G融合应用、零信任、后量子密码、软件供应链等。 2023年，我国在互联网上暴露的网络资产数量庞大，主要涉及物联网资产、工业控制系统和安全设备，经济发达地区暴露数量较多。暴露的大量设备容易被不法分子攻击利用并造成经济损失，甚至危害国家安全。 观点3：ﾠ高风险主机 2023年，我国开放的高风险端口资产数量庞大。这些高风险服务端口在互联网上暴露，会降低系统的安全性，给黑客以可乘之机。 观点4：ﾠ暗网态势 2023年通过暗网监测显示，我国数据泄露情况令人担忧，公民个人隐私安全面临较高风险。泄露数据量大，涵盖金融、电商、教育、医疗、能源、政府等多个行业，涉及到日常工作生活的方方面面，数据泄露治理需求强烈。 观点5：ﾠ恶意软件威胁态势 尽管执法机构已加大打击力度，但知名恶意软件衍生家族的持续涌现，特别是在勒索软件领域，这一现象尤为突出。同时，僵尸网络、挖矿木马、窃密木马等相对威胁程度较低的恶意软件家族也保持持续活跃状态，对网络安全构成持续威胁。因此，治理工作仍需加大投入，以应对当前严峻的网络安全形势。 观点6：ﾠAPT攻击态势 缘政治紧张局势不断升级，高级持续性威胁（APT）组织的活动频率呈显著增长趋势。针对我国的APT攻击活动相较以往更为猛烈，对抗的激烈程度迅速提升。这些APT组织将僵尸网络与勒索软件相结合，巧妙地隐藏攻击痕迹于常规攻击活动中，使其隐匿性进一步增强。近两年来，APT组织针对网络边界设备的攻击已成为主流手段，必须加强对边界设备自身安全性的重视与关注。 观点7：ﾠ大模型安全 2023年，大模型的发展尚不成熟，面临着诸多隐患与风险。随着深度学习技术的发展和相关安全研究的深入，以大模型为目标的攻击会朝着更为高效、轻量级的方向发展，对实际部署和应用中的大模型造成威胁。同时，随着大模型能力的提升和应用的扩展，潜在的安全漏洞和隐患会引发更大范围和更为严重的后果。 观点8：ﾠ攻击面管理 随着企业数字化转型的推进，加之网络攻击技术不断演进，如APT（高级持续性威胁）、勒索软件、供应链攻击等新型的威胁层出不穷，使得企业攻击面不断扩大、难以有效管理。因此，结合国内外安全现状，传统的网络安全防御手段难以完全应对这些新型威胁，防守方需要采用新的方法来可视化和评估组织的攻击面。 观点9：ﾠ内幕风险管理 近些年的观察中发现，大量安全事件由组织机构内部人员引发，由此产生了内幕风险的概念。内幕风险管理不同于内部威胁管理，会同时关注内部的恶意人员和非恶意人员，以“人因”为要素进行关键安全管理，保障组织机构安全。内幕风险正受到越来越多的关注，数字与智能化发展于未来三年不断推升内幕风险管理需求，并将其逐步纳入组织机构常态化安管范围。 观点10：ﾠ数据安全 2023年，数据安全成为热点话题之一。全球数据安全事件频发，云场景下数据安全风险大幅增长，供应链攻击严重威胁数据安全；数据安全领域政策密集推出，重点关注数据跨境传输、数据互联互通与数据交易；数据要素市场规模不断扩大，信创产品需求旺盛。两项热点技术中，机密计算百花齐放，安全多方计算也得到了重视，但二者仍存在较大的改进空间。 观点11：ﾠ供应链安全 我国的软件产品面临着漏洞后门、开源协议、出口管制等多种供应链攻击风险。同时存在着，透明度不足、供应链管理水平参差不齐、缺乏统一的软件供应链管理标准及机制等问题。从软件开发者、使用者以及管理机构的角度来看，软件供应链的各个环节均存在着巨大的安全隐患。供应链安全处理难度高，需要通过制度与能力的建设来控制风险，保护信息化系统的平稳运行。 观点12：ﾠ工业互联网安全 工业互联网安全产业正在经历快速增长和变革，定制化的安全产品和服务正在获得更多的关注，因为它们能够将信息安全元素与业务深度融合，满足不同行业的个性化需求。此外，数据安全也被视为工业互联网安全的重要一环，未来将成为安全关注的重点。工业互联网已经成为现代战争的首要攻击目标，随着5G、物联网、云计算等技术的发展，工业互联网的边界变得越来越模糊，边缘设备成为新的攻击入口点，必须加强对边缘设备的安全防护。 观点13：ﾠ车联网安全 汽车智能网联功能越来越普及，随之也带来了更多的安全风险，相关的系统漏洞和数据泄露事件被频繁披露。未来，自动驾驶和车路协同的落地后，会扩大车内和路边设备的漏洞风险面至车路协同的网络之中。汽车、车主个人信息和轨迹，是未来几年内汽车黑客的重要目标。车联网数据安全是实现车联网数据运营的前提保障，而汽车虚拟化或可成为未来车联网安全的重点研究方向之一。 01 法规政策篇 2023年国家持续深化网络安全能力和体系建设，制定发布了多项网络安全法规和政策，推动我国网络安全法治体系的持续完善。 我们结合日常研究，选编2023年以来国内外发布的部分网络安全重点法规政策加以分析解读，以期与业界同仁一道学习探究网络安全领域的发展导向。 1.1习近平总书记对网络安全和信息化工作作出重要指示 2023年7月14日，全国网络安全和信息化工作会议在京召开。会议传达了习近平总书记近日对网络安全和信息化工作的重要指示，强调深入贯彻党中央关于网络强国的重要思想，大力推动网信事业高质量发展。习近平总书记重要指示重点提出网信工作“十个坚持”原则。一是坚持党管互联网；二是坚持网信为民；三是坚持走中国特色治网之道；四是坚持统筹发展和安全；五是坚持正能量是总要求、管得住是硬道理、用得好是真本事；六是坚持筑牢国家网络安全屏障；七是坚持发挥信息化驱动引领作用；八是坚持依法管网、依法办网、依法上网；九是坚持推动构建网络空间命运共同体；十是坚持建设忠诚干净担当的网信工作队伍。 【原文链接】 http://www.cac.gov.cn/2023-07/15/c_1691074006592801.htm 【观点解读】 总书记的重要指示，进一步强调和明确了网络安全行业的发展思路、发展模式和发展方向，对于指导网络安全产业实现高质量发展具有重大理论和实践意义。 在发展思路方面，就是要“坚持统筹发展和安全”，确立以“总体国家安全观”为引领的网络安全企业发展思路。要求网络安全企业胸怀“国之大者”，牢固树立全局意识，从国家网络安全的整体和大局出发，以扎实的研发、过硬的产品为国家网络安全事业持续贡献力量。 在发展模式方面，就是要“构建大网络安全工作格局”，建设开放协同的网络安全企业发展模式。要求参与网络安全的各类型主体不仅要找准定位，更要强化开放、强化协同。作为企业而言立足技术研发创新，并持续探索促进技术研究与科研成果转化之间的高效链接，同高校、研究机构和地方建立深度